На прошлой неделе исследователь обнаружил, что американская авиакомпания CommuteAir случайно оставила на незащищенном сервере список лиц, которых нельзя пускать на борт самолетов, летящих в США или из США (так называемый «No Fly List»). Теперь этот файл, содержащий более 1,5 млн записей, опубликовали на хакерском форуме.

Напомню, что незащищенный сервер CommuteAir случайно обнаружил в сети швейцарский хакер maia arson crimew, считающий себя хактивистом. В прошлом этот человек был известен как Тилли Коттманн (Tillie Kottmann), но недавно официально сменил имя на вышеуказанное.

Он рассказывал, что на сервере хранились самые разные данные, включая личную информацию примерно 9000 сотрудников CommuteAir, путевые листы рейсов, а также можно было легко получить доступ к планам полетов, информации о техническом обслуживании самолетов и прочим данным.

Там же нашелся файл, содержащий копию так называемого «No Fly List», датированную 2019 годом. Этот список содержит более 1,56 млн записей и включает в себя имена и даты рождения, хотя многие записи дублируются.

maia arson crimew демонстрирует список на экране своего ноутбука

Подобные списки начали появляться в начале 2000-х годов, после террористических атак 11 сентября. Сначала они содержали лишь несколько десятков имен (в основном это были люди, которые «известны или обоснованно подозреваются в причастности к террористической деятельности»), но после терактов и создания Министерства внутренней безопасности списки стали быстро пополняться.

В настоящее время на No Fly List, составляемый специалистами Центра выявления террористов ФБР (Terrorist Screening Center, TSC), полагаются множество американских федеральных органов исполнительной власти, и список используется для управления и обмена консолидированной информацией в целях борьбы с терроризмом.

Такие базы данных считаются секретными, даже если не имеют грифа «classified» («секретно»), учитывая роль, которую они играют в решении задач национальной безопасности и работе правоохранительных органов. Террористы и другие подозреваемые, представляющие угрозу национальной безопасности, «номинируются» на включение в этот список по усмотрению властей.

Хотя No Fly List недоступен общественности, на него часто ссылаются частные авиакомпании и многочисленные госорганы, включая Государственный департамент США, Министерство обороны, Агентство транспортной безопасности (TSA) и Службу таможенного и пограничного контроля (CBP). С помощью этого списка проверяют, разрешено ли пассажиру летать в принципе, может ли он быть допущен на территорию США, а также оцениваются прочие вероятные риски.

Напомню, что arson crimew не первый, что получил доступ к No Fly List. Первым, еще в 2021 году, копию базы TSC обнаружил в сети ИБ-эксперт Боб Дьяченко. Тогда список лиц, которых нельзя допускать в полетам, был найден в кластере Elasticsearch, на иранском IP-адресе.

Дьяченко уведомил Министерство внутренней безопасности об утечке сразу же, как только база была проиндексирована поисковиками Censys и ZoomEye. В итоге сервер был отключен примерно через три недели, и эксперт писал, что не знает, почему это заняло так много времени, и неизвестно, не успели ли посторонние лица добраться до списка.

Находка arson crimew отличается от этого случая тем, что теперь  No Fly List впервые был замечен на общедоступном сайте, доступный любому желающему. Более того, список, найденный в 2021 году Дьяченко, был более подробным: он содержал полные имена, пол, номера паспортов, данные о стране выдачи документов, идентификаторы TSC и так далее. Список, обнаруженный на прошлой неделе, содержит только полные имена и даты рождения.

Как теперь сообщает издание Bleeping Computer, в конец прошлой недели найденный arson crimew список опубликовали на хакерском форуме. И здесь следует отметить, что arson crimew обещал предоставить список журналистам и правозащитным организациям ради «общественного блага», но публиковать его в открытом доступе счел неправильным.

Журналисты подтвердили, что на хак-форуме обнародовали именно No Fly List, исходно найденный на сервере CommuteAir, изучив части списка, представленные в виде двух CSV-файлов с именами NOFLY и SELECTEE. В последнем файле, судя по всему, собраны данные пассажиров, которые всегда проходят вторичный досмотр (Secondary Security Screening Selection, SSSS) в аэропортах при полете в США.

Размещенный на форуме дамп содержит 1 566 062 записи и включает множество дубликатов и вариаций записи для некоторых имен (то есть фактически в списке числятся меньше 1,5 млн человек). Список SELECTEE состоит из 251 169 записей. К примеру, в списке упоминается Виктор Бут и перечислены 16 его возможных псевдонимов.

Хотя утечка произошла с незащищенного сервера AWS, принадлежащего частной авиакомпании, случившееся явно не понравилось властям США, которые уже занимаются расследованием случившегося. В частности, журналисты сообщают, что 27 января TSA выпустило специальную директиву по безопасности, предназначенную для аэропортов и авиаперевозчиков.

«Директива по безопасности усиливает существующие требования к обработке конфиденциальной информации о безопасности и информации, позволяющей установить личность. Мы продолжим сотрудничать с нашими партнерами, чтобы обеспечить выполнение ими требований безопасности для защиты систем и сетей от кибератак», — заявили в TSA.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии